近日一則題為《360黑匣子之謎——奇虎360“癌”性基因大揭秘》的媒體報道把360這家安全公司推到了風口浪尖上，報道引述了多位技術(shù)人士，通過調(diào)查和試驗試圖說明這家安全公司的產(chǎn)品并不安全：不但在“以安全著稱的‘安全衛(wèi)士’、‘安全瀏覽器’軟件中，植入非法程序，并通過該非法程序中的‘后門機制’與360云端配合，形成全球獨一無二的秘密內(nèi)部機制”；更利用高度機密的“V3升級機制”，“在用戶電腦中私自卸載競爭對手的產(chǎn)品，私自安裝自己要推廣的產(chǎn)品”。

    面對這些嚴重的指責，360董事長周鴻祎日前高調(diào)地向媒體逐一反駁了上述報道。360到底是“天使”還是“魔鬼”？360安全衛(wèi)士記錄用戶賬戶密碼？

    誤抓取缺乏安全意識網(wǎng)址所致

    報道還引述了三年前360的競爭對手瑞星的一份“證據(jù)”，指“360安全衛(wèi)士在安裝進用戶電腦時，會偷偷開設(shè)后門，并時刻監(jiān)視用戶訪問網(wǎng)站，將相關(guān)信息上傳至360網(wǎng)站”；“在黑客狂轟濫炸360服務(wù)器后，360防線被攻破，存儲于其服務(wù)器上的大量用戶隱私數(shù)據(jù)噴涌而出，被谷歌搜索爬蟲自動抓取，并公告天下”。

    周鴻祎在三年后詳細公布了這次“谷歌曝光”事件：是由于極少數(shù)網(wǎng)站缺乏安全意識，把用戶口令編寫在網(wǎng)址中。“打個比方，就好像銀行給用戶郵寄信用卡的郵件，把卡號和密碼寫在了信封上”。他解釋，所謂“隱私數(shù)據(jù)”是360安全衛(wèi)士對可疑網(wǎng)址的查詢記錄，主流安全軟件均采用該機制?！斑@些數(shù)據(jù)只是360安全衛(wèi)士對可疑網(wǎng)址的查詢記錄?！?/p>

    周鴻祎介紹，目前各種釣魚、欺詐網(wǎng)站已經(jīng)成為中國網(wǎng)民面臨的主要安全威脅。360安全衛(wèi)士為全國網(wǎng)民每天攔截3000萬次惡意網(wǎng)址訪問。之所以能做到這點，就是得益于基于云的網(wǎng)址安全體系。“事實上，這也是目前主流安全軟件的通行做法，包括諾頓、趨勢等莫不如此。360可以提供公證材料，證明金山服務(wù)器上傳用戶的3100余萬條網(wǎng)址被谷歌、百度等搜索引擎抓取，其中存在帶有用戶名和密碼的網(wǎng)址?！敝劣跒楹螘诰W(wǎng)址中出現(xiàn)用戶名和密碼，是由于極少數(shù)網(wǎng)站缺乏安全意識，把用戶口令編寫在網(wǎng)址中。對于這類存在安全缺陷的網(wǎng)站，360也采用了措施，過濾可能帶有用戶數(shù)據(jù)的網(wǎng)址。

    360安全衛(wèi)士偷偷上傳用戶隱私？

    只是與云端交換數(shù)據(jù)判斷進程安全性

    報道引述“獨立調(diào)查員”指：“360安全衛(wèi)士對用戶在電腦上進行軟件操作、文檔操作等所有操作舉動均秘密進行監(jiān)視、記錄，然后進行壓縮后上傳至云端服務(wù)器；過去，上傳的過程為明文上傳，這對用戶的隱私帶來非常嚴重的威脅，在經(jīng)歷過幾次大的泄密事件后，目前上傳文件已經(jīng)加密?！?/p>

    對此，周鴻祎回應(yīng)指上述“上傳用戶操作記錄”實際上是360安全衛(wèi)士將用戶運行的程序特征與存儲于云上的數(shù)據(jù)庫進行比對，以確定用戶正在運行的程序是安全的；并且，360安全衛(wèi)士記錄的只是可執(zhí)行程序的文件路徑，不包含用戶數(shù)據(jù)，因此不存在用戶隱私泄露的隱患。

    “安全軟件一個很重要的職責，就是監(jiān)控電腦里運行的程序（數(shù)據(jù)、圖片和office文件不屬于運行的軟件)，任何安全軟件公司都有兩個功能，一是文件實時監(jiān)控，二是進程實時監(jiān)控，沒有這兩個功能就不是安全軟件，這是正常功能。當用戶的電腦運行程序時，360如果不能檢測程序是不是木馬病毒，那就不能保護用戶的電腦安全?！敝茗櫟t指出，傳統(tǒng)安全軟件是比對本地的特征庫，而基于云的安全軟件需要把運行程序的各種特征與云端的海量的特征進行比對，進而判斷其安全性，因此云安全軟件在判斷進程的安全性的過程中必然要與云端進行交互。他強調(diào)：“上傳可疑網(wǎng)址信息是安全軟件的通用技術(shù)，很多安全軟件都有類似功能。360的云主防檢測中，是在360云安全中心的惡意網(wǎng)址庫進行比對，以鑒別和攔截掛馬、釣魚、欺詐等惡意網(wǎng)頁?！?/p>

    360瀏覽器留“后門”遙控用戶電腦？

    下載的只是防攻擊的數(shù)據(jù)文件，不具備遙控能力

    報道調(diào)查指出，360瀏覽器在“不打開任何網(wǎng)頁、不動鍵盤和鼠標，依然忙個不停”，原來它每隔5分鐘就下載一個文本文件（i－ni），把數(shù)據(jù)包拼接成文件，那些實際是個DLL文件（可動態(tài)加載的程序模塊），這意味著360瀏覽器“以更新配置文件為耳目、周期性下載并加載執(zhí)行小程序——這是一個后門”。

    周鴻祎則反駁，上述DLL文件，“實際上只是配置文件，并不具有‘遙控’作用”。“配置文件做成dll形式并添加數(shù)字簽名校驗是安全軟件常規(guī)做法，可以保證程序在加載配置文件時，能夠確認文件沒有被木馬篡改過。這種做法還可避免下載文件時被中間人攻擊。比如黑客通過ARP攻擊劫持下載過程，返回由黑客構(gòu)造的惡意配置文件?！?/p>

    他進一步解釋，5分鐘一次檢查更新，是360安全瀏覽器的一種保護網(wǎng)購安全的快速攻防機制，360安全瀏覽器作為上網(wǎng)安全的第一道防線，需要具備這種能力?！八邪踩浖加蓄愃菩袨椋热珧v訊電腦管家每3分鐘檢查一次更新?！彼麖娬{(diào)，360安全瀏覽器下載的DLL文件只是數(shù)據(jù)文件，這種通過DLL內(nèi)置數(shù)據(jù)文件來防止篡改的方式，360于2012年3月還專門申請了專利。此外，下載的DLL資源文件會驗證簽名，如果簽名不對，則不會被加載。報道中提到的一個沒有簽名的DLL被調(diào)用，是因為分析者在測試環(huán)境中用調(diào)試工具破壞了校驗機制導致的，在真實環(huán)境中是不可能發(fā)生的。

    360瀏覽器屏蔽網(wǎng)銀通用認證，替換成自家認證？

    并未屏蔽通用認證，與自家認證作互補

    報道稱，360瀏覽器屏蔽了國際通用的網(wǎng)銀認證機構(gòu)VeriSign的可信認證，將其替換成了360綠色網(wǎng)站認證，這使得用戶有可能在被騎劫的網(wǎng)銀網(wǎng)站上當受騙。

    對此，周鴻祎反駁360瀏覽器并未屏蔽VeriSign認證；如果360安全瀏覽器訪問被DNS劫持的招商銀行，用戶看到強烈的提示頁面，任何用戶都不會進行下一步了。“所以根本不存在360安全瀏覽器屏蔽Versign認證，如果屏蔽，這個攔截網(wǎng)頁根本不會出現(xiàn)?！?/p>

    但周鴻祎同時表示，光憑Versign認證攔截釣魚網(wǎng)站是不夠的，很多網(wǎng)站并沒有購買其證書，所以360又推出了“網(wǎng)站名片”功能，參考國家的ICP備案信息庫和其他認證機構(gòu)數(shù)據(jù)，對于域名經(jīng)過認證的網(wǎng)站，給用戶更多的信息，幫助用戶識別釣魚網(wǎng)站。而對于已知的惡意網(wǎng)站，360安全瀏覽器會根據(jù)網(wǎng)址云安全技術(shù)進行攔截，多種鑒別方式能幫助用戶更好地識別釣魚網(wǎng)站?！艾F(xiàn)在，網(wǎng)上欺詐釣魚已經(jīng)取代短信詐騙，成為行業(yè)第一公害。當用戶進入一個假銀行、假購物、假彩票等欺詐網(wǎng)站時，如果360不能提示攔截，用戶可能就會被騙財，蒙受損失。網(wǎng)址云查詢已經(jīng)成為互聯(lián)網(wǎng)安全軟件的必備?！?/p>

    360利用升級機制卸載競爭對手產(chǎn)品？

    快速升級人人都有，安裝前都詢問過用戶

    報道指出，“當360要發(fā)動一場討伐競品的戰(zhàn)爭時，其便啟動‘V3機制’——通過‘安全衛(wèi)士’、‘安全瀏覽器’，在用戶電腦中私自卸載競爭對手的產(chǎn)品，私自安裝自己要推廣的產(chǎn)品，這就是360長盛不衰的真正秘訣”。

    周鴻祎指出：“V3是360安全衛(wèi)士升級程序版本號，絕不會偷偷卸載競爭對手產(chǎn)品和安裝推廣軟件?；ヂ?lián)網(wǎng)軟件都帶有升級功能,特別為了有效對抗快速變化的木馬和0day漏洞，要求安全軟件必須能夠快速升級響應(yīng)，國內(nèi)外主流安全軟件全都如此。360做的安全軟件更是如此，當互聯(lián)網(wǎng)上出現(xiàn)一個新木馬、新的攻擊方式時，360便通過V3模塊及時把新的查殺代碼程序升級到用戶的電腦中?！啊甐3’就是升級程序的版本號，代表的是第三個主要版本，其作用是把木馬防御規(guī)則、補丁更新等安全特性快速升級，根本不會偷偷卸載競爭對手產(chǎn)品和安裝推廣軟件。用戶可以選擇是否開啟自動升級?！?/p>

    周鴻祎認為，升級更新速度已經(jīng)成為衡量安全軟件的重要標準?！氨热鏝orton殺毒軟件的升級機制命名為‘LiveUpdate’，它的廣告語是‘秒級更新’，卡巴斯基追求的是‘脈動升級’。今天每個互聯(lián)網(wǎng)程序都有自動升級機制，安全軟件也要有快速強大的升級能力，有多服務(wù)器下載模塊。”他強調(diào)，360軟件版本升級都會提示用戶，讓用戶選擇更新。